Ir a la página de inicio
Home / Posts
Compartir en Twitter
Go to Homepage

GUÍA COMPLETA DE DOCKER EXEC PARA EJECUTAR COMANDOS EN CONTENEDORES

January 19, 2026

Introducción al comando docker exec en entornos modernos

El comando docker exec constituye una herramienta fundamental en la administración de contenedores Docker al permitir ejecutar procesos adicionales dentro de instancias ya en ejecución sin interrumpir su operación principal. A diferencia de iniciar un contenedor nuevo con docker run, esta funcionalidad resulta especialmente valiosa cuando se necesita intervenir en aplicaciones en producción, realizar inspecciones rápidas o aplicar correcciones temporales.

En el panorama tecnológico actual de 2026, donde los entornos de microservicios y Kubernetes dominan, dominar docker exec facilita enormemente las tareas de desarrollo, pruebas y operaciones diarias. Permite acceder a shells interactivos, inspeccionar variables de entorno, verificar archivos de configuración o incluso reiniciar servicios internos sin downtime significativo.

La sintaxis básica sigue siendo estable desde versiones anteriores de Docker, aunque se han incorporado mejoras en el manejo de señales, soporte para entornos más seguros y mejor integración con herramientas de observabilidad.

docker exec [opciones] [argumentos]

Para ilustrar su uso inicial, considera un contenedor nginx en ejecución:

docker run -d --name servidor-web nginx:latest

Una vez activo, se puede ejecutar un comando simple:

docker exec servidor-web ls /usr/share/nginx/html

La salida mostraría los archivos predeterminados de la página de bienvenida.

index.html  50x.html  404.html

Este ejemplo demuestra la capacidad de interactuar directamente con el sistema de archivos interno.

Diferencias clave entre docker run y docker exec

Muchos desarrolladores confunden inicialmente docker run con docker exec debido a su similitud superficial. Sin embargo, representan propósitos completamente distintos en el ciclo de vida del contenedor.

docker run crea un contenedor nuevo a partir de una imagen y ejecuta el comando especificado como proceso principal. Si el comando finaliza, el contenedor se detiene (a menos que se use -d para detached). Por otro lado, docker exec opera exclusivamente sobre contenedores que ya están corriendo y lanza un proceso adicional que comparte el mismo namespace.

Ejemplo práctico de la diferencia:

Primero, inicia un contenedor en background:

docker run -d --name prueba-run ubuntu:latest sleep infinity

Ahora ejecuta un comando dentro:

docker exec prueba-run echo "Este comando se ejecuta dentro"

Salida:

Este comando se ejecuta dentro

Si intentas usar docker run para lo mismo en un contenedor existente, fallará porque docker run siempre crea uno nuevo.

Otra distinción importante radica en el manejo del proceso PID 1. En docker run el comando se convierte en PID 1, mientras que en docker exec el proceso nuevo recibe un PID diferente y no afecta la vida del contenedor principal.

Opciones más utilizadas en docker exec

Las opciones más frecuentes mejoran significativamente la usabilidad diaria. La combinación -it resulta casi obligatoria cuando se desea un shell interactivo.

  • -i o –interactive: Mantiene STDIN abierto, permitiendo enviar entrada al proceso.

  • -t o –tty: Asigna un pseudo-TTY, habilitando características como colores, edición de línea y navegación.

Ejemplo combinado para abrir bash:

docker exec -it servidor-web bash

Si la imagen no incluye bash, prueba con sh:

docker exec -it servidor-web sh

Otra opción valiosa es -e o –env para establecer variables de entorno específicas en el proceso ejecutado.

docker exec -e MI_VARIABLE=valor123 servidor-web env | grep MI_VARIABLE

Salida:

MI_VARIABLE=valor123

La opción -u o –user permite ejecutar el comando como un usuario diferente, mejorando la seguridad al evitar privilegios innecesarios.

docker exec -u www-data servidor-web whoami

Salida esperada:

www-data

En escenarios avanzados, –workdir cambia el directorio de trabajo inicial.

docker exec --workdir /var/log servidor-web pwd

Salida:

/var/log

Acceso a shell interactivo para depuración efectiva

El uso más común de docker exec implica abrir un shell interactivo para depuración. Esta técnica resulta invaluable cuando un contenedor presenta comportamientos inesperados.

Inicia un contenedor problemático:

docker run -d --name app-problema python:3.12-slim sleep infinity

Accede al shell:

docker exec -it app-problema bash

Dentro del contenedor puedes instalar herramientas temporales si es necesario (asumiendo permisos):

apt update && apt install -y procps net-tools
ps aux
netstat -tuln

Verifica procesos:

ps aux

Salida típica:

USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0   4168   708 ?        Ss   23:00   0:00 sleep infinity
root        12  0.0  0.1  18240  3320 pts/0    Rs+  23:05   0:00 bash

Esta visibilidad ayuda a identificar fugas de memoria, procesos zombie o configuraciones erróneas.

Ejecución de comandos no interactivos para automatización

Cuando la interacción no es necesaria, omite -it y ejecuta comandos directos. Ideal para scripts de monitoreo o CI/CD.

Ejemplo de verificación de logs:

docker exec app-problema tail -n 20 /var/log/app.log

O para reiniciar un servicio interno:

docker exec app-problema systemctl restart nginx

Aunque en contenedores minimalistas suele usarse supervisor o scripts directos.

Otro caso práctico: copiar archivos sin detener el contenedor.

Primero crea un archivo local:

echo "configuracion temporal" > temp.conf

Copia al contenedor (aunque cp es más común, exec permite):

docker exec -i app-problema bash -c "cat > /app/temp.conf" < temp.conf

Manejo de entornos de ejecución y variables

Las variables de entorno definidas en docker run persisten, pero docker exec permite sobrescribirlas temporalmente para pruebas.

Ejemplo:

docker run -d -e ENTORNO=produccion --name mi-app node:20 sleep infinity

Verifica:

docker exec mi-app env | grep ENTORNO

Salida:

ENTORNO=produccion

Ahora sobrescribe:

docker exec -e ENTORNO=desarrollo mi-app node -e "console.log(process.env.ENTORNO)"

Salida:

desarrollo

Esta capacidad facilita pruebas A/B o simulaciones de diferentes configuraciones sin recrear contenedores.

Mejores prácticas actualizadas para 2026

En entornos productivos modernos, aplica estas recomendaciones:

Primero, siempre verifica que el contenedor esté en ejecución:

docker ps -q -f name=mi-app

Si no retorna ID, no intentes exec.

Usa nombres de contenedores en lugar de IDs para legibilidad.

Evita ejecutar procesos largos que consuman recursos innecesarios.

Prefiere –user para limitar privilegios:

docker exec -u 1000:1000 mi-app touch /app/archivo

Cuando trabajes con contenedores orquestados (aunque aquí sea docker solo), recuerda que docker exec afecta solo la instancia específica.

Para depuración profunda, combina con docker logs y docker inspect.

Ejemplo combinado:

docker logs mi-app --tail 50
docker exec -it mi-app bash
# dentro: top, netstat, etc.

Casos de uso avanzados en producción

En aplicaciones reales, ejecutar comandos en contenedores sirve para:

  • Recargar configuraciones sin restart: nginx -s reload

  • Inspeccionar bases de datos internas: mysql -u root -p

Ejemplo con postgres:

docker run -d --name db-postgres -e POSTGRES_PASSWORD=secreto postgres:16
docker exec -it db-postgres psql -U postgres

Dentro:

\l   -- lista bases

  • Monitoreo temporal: instalar htop o glances si no está presente.

  • Limpieza de archivos temporales: rm -rf /tmp/cache/*

Siempre documenta los cambios para mantener trazabilidad.

Consideraciones de seguridad al usar docker exec

Evita ejecutar contenedores con –privileged innecesariamente.

Usa –user consistentemente.

No expongas shells interactivos en producción sin autenticación adicional.

En 2026, Docker enfatiza imágenes hardened y rootless; docker exec en rootless requiere configuración adecuada del daemon.

Verifica permisos:

docker info --format '{{.SecurityOptions}}'

Ejemplos completos de flujos de trabajo

Flujo de depuración típico:

  1. docker ps para encontrar contenedor

  2. docker logs -f para observar

  3. docker exec -it sh para entrar

  4. Dentro: export PS1=’[\e[32m]\u@\h:\w$ [\e[m]’ para mejor legibilidad

  5. cd /app && ls -la

  6. cat config.yaml

  7. ps aux | grep app

  8. tail -f /var/log/app/error.log

  9. exit cuando termines

Otro flujo: actualización de configuración en caliente.

echo "nueva clave: valor" > update.yaml
docker cp update.yaml mi-app:/app/config/extra.yaml
docker exec mi-app kill -HUP $(pidof mi-servicio)

Conclusiones

El comando docker exec permanece como una herramienta esencial en el ecosistema Docker, permitiendo intervenciones precisas y seguras en contenedores activos. Su versatilidad para depuración, automatización y administración lo convierte en indispensable para cualquier profesional que trabaje con contenedores en 2026.

Dominar sus opciones, entender sus limitaciones y aplicar mejores prácticas garantiza operaciones más eficientes y seguras. Integra este conocimiento con docker compose, docker inspect y herramientas de monitoreo para construir flujos de trabajo robustos y escalables en entornos de desarrollo y producción.